URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10176
[ Назад ]

Исходное сообщение
"закрыть порты"

Отправлено KVN , 28-Мрт-06 13:23 
помогите закрыть поты на внешнем интерфейсе cisco 2611,
вот конфиг

Current configuration : 2515 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CISCO
!
boot-start-marker
boot-end-marker
!
enable password xxx
!
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
ip flow-cache timeout active 1
ip name-server 21.21.21.21
no ftp-server write-enable
!
!
!
controller E1 0/0
channel-group 1 timeslots 1
!
controller E1 0/1
!
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip nat inside
ip route-cache flow
duplex auto
speed auto
no cdp enable
!
interface Serial0/0:1
ip address 192.168.10.4.254 255.255.255.252
no cdp enable
!
interface Serial0/0:2
ip address 192.168.10.5 255.255.255.252
no cdp enable
!
interface FastEthernet0/1
ip address 21.21.21.22 255.255.255.252
ip nat outside
duplex auto
speed auto
no cdp enable
!
ip nat inside source list 1 interface FastEthernet0/1 overload
ip nat inside source list 2 interface Serial0/0:1 overload
ip nat inside source list 120 interface FastEthernet0/1 overload
ip nat inside source static tcp 172.16.1.2 25 interface FastEthernet0/1 25
ip classless
ip route 0.0.0.0 0.0.0.0 21.21.21.21
ip route 192.168.1.0 255.255.255.0 172.16.1.2
ip flow-export version 5
ip flow-export destination 172.16.1.2 20001
no ip http server
!
access-list 1 permit 172.16.1.2
access-list 2 permit 172.16.1.7
access-list 120 deny   tcp any eq ftp any
access-list 120 deny   tcp any eq pop3 any
no cdp run
!
line con 0
line aux 0
line vty 0 4
password xxx
login
!
!
!
end

где interface FastEthernet0/0  - адрес в сторону линукс, за кот. находится локальная сеть,
interface Serial0/0:1, interface Serial0/0:2 –адреса в сторону корпоративной сети,
interface FastEthernet0/1 – адрес в сторону провайдера Интернет

хочу на внешнем интерфейсе FastEthernet0/1 закрыть порты 21 и 110 (при сканировании портов они открыты)
сделал

access-list 120 deny   tcp any eq ftp any
access-list 120 deny   tcp any eq pop3 any

и
ip nat inside source list 120 interface FastEthernet0/1 overload

но результата нет – порты остались открыты, что исправить?


Содержание

Сообщения в этом обсуждении
"закрыть порты"
Отправлено Влад , 28-Мрт-06 14:37 
ваш аксеслист нужно на интерфейс приладить
ip access-group 120 in
естественно в конфиге интерфейса
только добавить туда нужно в конец
permit ip any any
потому что в конце любого аксеса по дефолту стоит невидимая строка
deny ip any any